El FBI elimina cientos de 'shells' maliciosos instalados por 'hackers' chinos en servidores expuestos con Exchange

Archivo - Servidor informático.
Archivo - Servidor informático. - KVISTHOLT PHOTOGRAPHY / UNSPLASH - Archivo
Publicado: miércoles, 14 abril 2021 13:19

   MADRID, 14 Abr. (Portaltic/EP) -

   El FBI han llevado a cabo una operación para eliminar cientos de 'shells' maliciosos instalados en servidores debido a una vulnerabilidad reciente en Microsoft Exchange, que ha explotado el grupo de cibercriminales chinos Hafnium.

   Según ha anunciado en un comunicado el Departamento de Justicia de Estados Unidos, la operación ejecutada por el FBI ha contado con autorización judicial y ha logrado eliminar los 'webshells' maliciosos de "cientos de ordenadores vulnerables en Estados Unidos".

   Esta operación llega como respuesta a un fallo de seguridad en el sistema operativo para servidores Microsoft Exchange, en el que se descubrieron cuatro vulnerabilidades día cero en sus versiones de entre los años 2016 y 2019 a principios de marzo. Los cibercriminales del grupo chino Hafnium emplearon esta brecha para llevar a cabo varios ataques entre enero y febrero.

   Aunque Microsoft lanzó hace más de un mes un parche de seguridad que solucionaba los problemas, y también una herramienta de un solo clic para administradores, a finales de marzo un 8 por ciento de las direcciones IP vulnerables aún no se habían actualizado.

   Por ello, la operación del FBI se ha centrado en los servidores vulnerables y desactualizados en los que los cibercriminales habían instalado 'webshells' maliciosas, un elemento que les permite controlar los sistemas de forma remota e incluso acceder a funciones restringidas.

   Los cientos de 'shells' eliminados en Estados Unidos estaban centrados en servicios de correo electrónico internos de empresas, y en algunos de los casos los elementos maliciosos se han eliminado después de "miles de ordenadores" afectados.

   En otros casos, el Departamento de Justicia ha reconocido que la eliminación de los 'shells' no fue posible, por lo que "cientos de estos 'webshells' continúan sin mitigarse".

   Para eliminar los elementos maliciosos, el FBI ha ejecutado un comando a través de los 'shells' en los servidores afectados, diseñados para que estos los eliminasen. El sistema identificaba los 'shells' por su ruta única de archivo, que en todos los casos era distinta, lo que, según el FBI, "habría hecho más difícil de detectar y eliminar para los propietarios de los servidores que otros 'shells'".

   La agencia estadounidense está procediendo actualmente a avisar a los administradores de los servidores parcheados sobre la operación, y ha recomendado a todos los usuarios instalar las actualizaciones de seguridad de Microsoft Exchange.

Leer más acerca de: